php5.4取消魔术引号之后如何写sql语句?求大神帮助

php5.4之后没有魔术引号开启选项了,只能自己转义了如果没做转义$sql="insertintotestvalues('{$_POST['a']}')";这样的语句是很... php5.4之后没有魔术引号开启选项了,只能自己转义了如果没做转义$sql = "insert into test values('{$_POST['a']}')";这样的语句是很危险的,但是有一种Prepare预处理语句Prepare(insert into test values(?))exec($_POST['a'])这样写是否就没有安全隐患了,也不需要人工转义了? 展开
 我来答
若以下回答无法解决问题,邀请你更新回答
萌小离丶zwqnw
2014-06-22 · 超过66用户采纳过TA的回答
知道答主
回答量:118
采纳率:0%
帮助的人:64.9万
展开全部
好像各种文档里面都说是用prepare安全,原因好像都没有怎么提到。除使用prepare,在其原来的方法上也可以escapse 查看原帖>>

采纳哦
本回答被提问者采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
收起 1条折叠回答
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式